公司容易忽略的3個GDPR合規性問題,你踩雷沒?
企業想要滿足歐盟《通用數據保護法案》(GDPR)合規性的***方式,就是假設自身并不需要保留個人數據,而不是通過與之相反的方式。
2018年5月,歐盟《通用數據保護法案》(GDPR)正式生效,對于GDPR合規性要求,一些盡職盡責地遵守該法規的企業也表現出了充分的自信心。但是,要知道,GDPR合規性規則并不像乍一看那么簡單,每個公司都應該考慮其中的一些特殊用例。如果合規專員們只是對照表格打勾確認,并沒有仔細評估GDPR的范圍以及其與公司數據收集實踐的關系,那么他們肯定會在合規計劃中出現紕漏。
以下是公司最容易忽略的3個GDPR合規性問題,其中任何一個問題都足以使公司陷入危險境地:
1. GDPR合規性不僅僅與消費者數據有關
GDPR旨在為消費者(其數據被各種不同的公司所收集)提供更多保護。但是,其監管的范圍更為廣泛,并且可以以許多公司在其初始合規計劃中未曾考慮的方式進行應用。除了消費者個人數據外,公司還需要采用新的保護標準來處理員工、求職者以及非客戶(例如,填寫了個人信息但并未購買公司商品或服務的人)的個人數據。
法規規定所有數據處理活動都要有法律依據,因此***做法是僅收集消費者、求職者及其間所有人的基本數據處理活動所必需的數據。公司應以數據最小化為目標評估其數據處理實踐,以便確保GDPR下的合規性。
建議:
不要只審查數據獲取實踐,還要審查所有數據的數據保留實踐。確保您正確地處理了舊的求職簡歷、員工個人數據以及其他任何已經過使用期限的記錄。
2. 政策vs.現實
任何旨在處理個人數據的公司都必須制定政策,來規范數據收集、存儲和處理的流程,以確保其與GDPR保持一致。雖然良好的數據治理是GDPR合規性的基石,但僅僅制定政策并不足以實現合規性。公司必須更進一步,以確保員工履行GDPR規定的數據處理義務。本質上來說,這就意味著公司有義務確保員工日常工作與GDPR政策保持一致。如果員工的行為不符合公司的標準,則必須采取糾正措施。
通常情況下,員工違反政策多屬無意——例如,如果客戶支持代理人與之在線通話,并將該客戶的個人信息保存在不屬于該客戶的系統中;或者,如果某個***進取心的員工嘗試使用新軟件或建立免費軟件即服務賬戶,并忘記將其報告給公司的合規專員等等。雖然上述情況可能看起來無關緊要,但卻會為公司帶來很大的風險,因為這兩個例子都屬于GDPR違規行為。
建議:
為了降低風險,我們建議您經常進行“迷你”審核。我們的安全與合規團隊已經客觀切實地了解到:只有當審核成為工作流程的一部分時,合規性才最容易納入日常工作流程之中。雖然大多數公司會進行季度審核,再不濟也會進行年度審核,但是我們提出的“迷你”審核概念將向各公司發出信號——即合規性并不是年度或季度事件,而是一種持續性的做法。更好的實踐方式是,使用工具自動化審核流程,這樣一來,當政策與現實發生偏差時就能立即得到反饋。
3. 臨界情況
GDPR“個人信息”中所囊括的數據可不像基本的人口統計信息一樣簡單。例如,“職稱”就是一種意想不到的個人信息。大多數情況下,職稱并不被視為受GDPR保護的個人信息,但這也要視具體情況而定。例如,試想一下這個職稱:德國總理。毫無疑問,當今世界上只有一個人擁有這樣一個職位,這也就意味著個人的身份可以通過這個特定的細節來揭示。因此,在這種情況下,職稱就必須被視為GDPR所提及的“個人信息”,自然也就屬于受保護的數據類別。問題在于,如果一個職位名稱被視為個人信息,那么所有的職稱都必須被視為潛在的個人信息,并得到同等的對待。
建議:
作為常規數據審核的一部分,請花一些時間查看您所收集的未標記為個人信息的數據。試想一下,如果只使用“非個人”信息進行標注,您能夠分辨清楚該數據點是否屬于特定人員嗎?如果不能,您可能需要重新考慮一下究竟什么是個人信息,什么不是了。
滿足GDPR合規性要求要比我們所能想象的更為復雜和廣泛,但它也絕非一項不可能實現的標準。***的建議是,假設您不需要任何數據,而不是像您現在所實踐的這樣——收集、存儲盡可能多的數據。只有這樣本著GDPR保護客戶數據的本質精神——公司才有可能為其用戶提供***水準的個人數據保護,并確保在整個組織內盡職盡責地完成個人數據處理任務。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
